本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS 隱私權參考架構
**調查**
我們希望聽到您的意見。請進行[簡短的問卷](https://amazonmr.au1.qualtrics.com/jfe/form/SV_cMxJ0MG3jU91Fk2),以提供對 AWS PRA 的意見回饋。
下圖說明 AWS 隱私權參考架構 (AWS PRA)。這是連接許多隱私權相關 AWS 服務 和 功能的架構範例。此架構建置在由 管理的登陸區域上 AWS Control Tower。
![\[AWS 隱私權參考架構中部署 AWS 的服務圖表\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/privacy-reference-architecture/images/aws-pra-architecture.png)
AWS PRA 包含在個人資料 (PD) 應用程式帳戶中託管的無伺服器 Web 架構。此帳戶中的架構是直接從消費者收集個人資料的範例工作負載。在此工作負載中,使用者會透過 Web 層連線。Web 層會與應用程式層互動。此層接收來自 Web 層的輸入、處理和存放資料、允許授權的內部團隊和第三方存取資料,以及最終在不再需要資料時封存和刪除資料。架構是刻意模組化且事件驅動的,目的是示範許多基礎隱私權工程技術,而不會深入了解特定使用案例,例如資料湖、容器、運算或物聯網 (IoT)。
接下來,本指南會詳細說明組織中的每個帳戶。它討論了與隱私權相關的服務和功能、考量事項和建議,以及下列每個帳戶的圖表:
+ [組織管理帳戶](org-management-account.md)
+ [Security OU – 安全工具帳戶](security-tooling-account.md)
+ [安全 OU – Log Archive 帳戶](log-archive-account.md)
+ [基礎設施 OU – 網路帳戶](network-account.md)
+ [個人資料 OU – PD 應用程式帳戶](personal-data-account.md)
# 組織管理帳戶
**調查**
我們希望聽到您的意見。請進行[簡短的問卷](https://amazonmr.au1.qualtrics.com/jfe/form/SV_cMxJ0MG3jU91Fk2),以提供對 AWS PRA 的意見回饋。
Org Management 帳戶主要用於管理組織中所有帳戶的基礎隱私權控制的資源組態偏離,這些帳戶由 管理 AWS Organizations。此帳戶也是您可以一致地部署新成員帳戶的地方,具有許多相同的安全和隱私權控制。如需此帳戶的詳細資訊,請參閱[AWS 安全參考架構 (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/org-management.html)。下圖說明組織管理帳戶中設定 AWS 的安全性和隱私權服務。
![\[AWS 部署在 Org Management 帳戶中的 服務。\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/privacy-reference-architecture/images/Account-Org-Management.png)
**Topics**
+ [AWS Artifact](#aws-artifact)
+ [AWS Control Tower](#aws-control-tower)
+ [AWS Organizations](#aws-organizations)
## AWS Artifact
[AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html) 可透過隨需下載 AWS 安全與合規文件,協助您進行稽核。如需如何在安全內容中使用此服務的詳細資訊,請參閱 [AWS 安全參考架構](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/org-management.html#mgmt-artifact)。
這 AWS 服務 可協助您了解繼承的 AWS 控制項,並判斷在環境中實作可能還剩哪些控制項。 AWS Artifact 提供 AWS 安全和合規報告的存取權,例如系統和組織控制 (SOC) 報告和支付卡產業 (PCI) 報告。它也提供跨地理位置和合規垂直機構的認證存取權,以驗證 AWS 控制的實作和操作有效性。使用 AWS Artifact, 您可以將 AWS 稽核成品提供給稽核人員或監管機構,做為 AWS 安全和隱私權控制的證據。下列報告可能有助於示範 AWS 隱私權控制的有效性:
+ **SOC 2 第 2 類隱私權報告** – 此報告示範了如何收集、使用、保留、揭露和處置個人資料的 AWS 控制的有效性。也有 [SOC 3 隱私權報告,](https://d1.awsstatic.com/whitepapers/compliance/AWS_SOC3.pdf)這是 SOC 2 隱私權控制的詳細描述。如需詳細資訊,請參閱 [SOC 常見問答集](https://aws.amazon.com/compliance/soc-faqs/)。
+ **雲端運算合規控制目錄 (C5)** – 此報告是由德國國家網路安全局 Bundesamt für Sicherheit in der Informationstechnik (BSI) 所建立。它詳細說明了為了符合 C5 要求而 AWS 實作的安全控制。它還包含與資料位置、服務佈建、司法管轄區和資訊披露義務相關的其他隱私權控制要求。
+ **ISO/IEC 27701:2019 認證報告** –[ISO/IEC 27701:2019](https://aws.amazon.com/compliance/iso-27701-faqs/?refid=sl_card) 說明建立和持續改善隱私權資訊管理系統 (PIMS) 的要求和指導方針。此報告會詳細說明此認證的範圍,並可做為 AWS 認證證明。如需此標準的詳細資訊,請參閱 [ISO/IEC 27701:2019](https://www.iso.org/standard/71670.html) (ISO 網站)。
## AWS Control Tower
[AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) 可協助您設定和管理遵循規範性安全建議實務的 AWS 多帳戶環境。如需如何在安全內容中使用此服務的詳細資訊,請參閱 [AWS 安全參考架構](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/org-management.html#mgmt-tower)。
在 中 AWS Control Tower,您也可以自動化部署許多主動、預防性和偵測性控制項,也稱為*護欄*,這些控制項符合您的資料隱私權要求,特別是針對資料落地和主權。例如,您可以指定將資料傳輸限制為僅核准 的護欄 AWS 區域。如需更精細的控制,您可以從超過 17 個旨在控制資料駐留的 護欄中進行選擇,例如*不允許 Amazon Virtual Private Network (VPN) 連線*、*不允許 Amazon VPC 執行個體的網際網路存取*,以及* AWS 根據請求拒絕對 的存取 AWS 區域*。這些護欄由許多勾 AWS CloudFormation 點、服務控制政策和 AWS Config 規則組成,可統一部署到整個組織中。如需詳細資訊,請參閱 AWS Control Tower 文件中的[增強資料駐留保護的控制項](https://docs.aws.amazon.com/controltower/latest/userguide/data-residency-controls.html)。
對於資料主權, AWS Control Tower 目前提供預防性控制,例如*需要將連接的 Amazon EBS 磁碟區設定為加密靜態資料**,以及需要 AWS KMS 金鑰政策才能擁有限制 AWS KMS 授予建立的陳述式 AWS 服務*。主權控制比資料駐留控制更廣泛。它們有助於防止可能違反資料駐留、精細存取限制、加密和彈性要求的動作。如需詳細資訊,請參閱 AWS Control Tower 文件中的[協助數位主權的預防性控制](https://docs.aws.amazon.com/controltower/latest/controlreference/ds-preventive-controls.html)。
如果您需要在資料駐留和主權控制之外部署隱私權護欄, AWS Control Tower 包含許多[強制性控制](https://docs.aws.amazon.com/controltower/latest/userguide/mandatory-controls.html)。當您設定登陸區域時,這些控制項預設會部署到每個 OU。其中許多都是旨在保護日誌的預防性控制,例如*不允許刪除日誌封存*和*啟用 CloudTrail 日誌檔案的完整性驗證*。
AWS Control Tower 也與 整合 AWS Security Hub CSPM ,以提供偵測性控制。這些控制項稱為[服務受管標準: AWS Control Tower](https://docs.aws.amazon.com/securityhub/latest/userguide/service-managed-standard-aws-control-tower.html)。您可以使用這些控制項來監控隱私權支援控制項的組態偏離,例如 Amazon Relational Database Service (Amazon RDS) 資料庫執行個體的靜態加密。
## AWS Organizations
AWS PRA 使用 AWS Organizations 來集中管理架構中的所有帳戶。如需詳細資訊,請參閱本指南中的 [AWS Organizations 和專用帳戶結構](organization-account-structure.md)。在 中 AWS Organizations,您可以使用服務控制政策 SCPs) [和管理政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_management_policies.html)來協助保護個人資料和隱私權。
### 服務控制政策 (SCP)
[服務控制政策 SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) 是一種組織政策,可用來管理組織中的許可。它們可集中控制目標帳戶、組織單位 AWS Identity and Access Management (OU) 或整個組織中 (IAM) 角色和使用者的最大可用許可。您可以從組織管理帳戶建立和套用 SCPs。
您可以使用 AWS Control Tower 在您的 帳戶間統一部署 SCPs。如需有關可套用的資料駐留控制的詳細資訊 AWS Control Tower,請參閱本指南[AWS Control Tower](#aws-control-tower)中的 。 AWS Control Tower 包含預防性 SCPs的完整補充。如果您的組織中目前 AWS Control Tower 未使用 ,您也可以手動部署這些控制項。
#### 使用 SCPs來處理資料駐留需求
通常透過在特定地理區域內存放和處理資料來管理個人資料駐留要求。為了確認符合司法管轄區的唯一資料落地要求,我們建議您與法規團隊緊密合作,以確認您的要求。確定這些要求後,有一些 AWS 基本的隱私權控制可以協助支援。例如,您可以使用 SCPs 來限制 AWS 區域 可用於處理和存放資料的 SCP。如需範例政策,請參閱本指南[限制跨 的資料傳輸 AWS 區域](restrict-data-transfers-across-regions.md)中的 。
#### 使用 SCPs 限制高風險 API 呼叫
請務必了解 AWS 負責哪些安全與隱私權控制,以及您負責哪些安全與隱私權控制。例如,您必須負責對您使用的 進行 API AWS 服務 呼叫的結果。您也必須負責了解哪些呼叫可能會導致安全性或隱私權狀態變更。如果您擔心維護特定安全性和隱私權狀態,您可以啟用拒絕特定 API 呼叫SCPs。這些 API 呼叫可能會有影響,例如意外公開個人資料或違反特定跨邊界資料傳輸。例如,您可能想要禁止下列 API 呼叫:
+ 啟用對 Amazon Simple Storage Service (Amazon S3) 儲存貯體的公開存取
+ 停用 Amazon GuardDuty 或為資料外洩問題清單建立抑制規則,例如[木馬程式:EC2/DNSDataExfiltration](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#trojan-ec2-dnsdataexfiltration) 問題清單
+ 刪除 AWS WAF 資料外洩規則
+ 公開共用 Amazon Elastic Block Store (Amazon EBS) 快照
+ 從組織移除成員帳戶
+ 取消 Amazon CodeGuru Reviewer 與儲存庫的關聯
### 管理政策
中的[管理政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_management_policies.html) AWS Organizations 可協助您集中設定和管理 AWS 服務 及其功能。您選擇的管理政策類型會決定政策如何影響繼承政策的 OUs和帳戶。[標籤政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html)是 中與隱私權 AWS Organizations 直接相關的管理政策範例。
#### 使用標籤政策
[標籤](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)是可協助您管理、識別、組織、搜尋和篩選 AWS 資源的關鍵值對。套用可區分組織中處理個人資料之資源的標籤會很有用。使用標籤支援本指南中的許多隱私權解決方案。例如,您可能想要套用標籤,指出正在資源中處理或存放之資料的一般資料分類。您可以撰寫屬性型存取控制 (ABAC) 政策,限制對具有特定標籤或一組標籤的資源的存取。例如,您的政策可能會指定 `SysAdmin`角色無法存取具有 `dataclassification:4`標籤的資源。如需詳細資訊和教學課程,請參閱 IAM 文件中的[根據標籤定義存取 AWS 資源的許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)。此外,如果您的組織使用 [AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html) 在許多帳戶中的備份之間廣泛套用資料保留政策,您可以套用將資源置於該備份政策範圍內的標籤。
[標籤政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html)可協助您在整個組織中維持一致的標籤。在標籤政策中,您可以指定在資源加上標籤時套用的規則。例如,您可以要求資源加上特定金鑰的標籤,例如 `DataClassification`或 `DataSteward`,而且您可以為金鑰指定有效的大小寫處理方式或值。您也可以使用[強制執行](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies-enforcement.html)來防止不合規標記請求完成。
使用標籤做為隱私權控制策略的核心元件時,請考慮下列事項:
+ 考慮將個人資料或其他類型的敏感資料放置在標籤索引鍵或值中的影響。當您聯絡 AWS 以取得技術協助時, AWS 可能會分析標籤和其他資源識別符,以協助解決問題。標籤資料不會加密 AWS 服務,例如 AWS 帳單與成本管理, 可以讀取這些資料。因此,您可能想要取消識別標籤值,然後使用您控制的系統重新識別它們,例如 IT 服務管理 (ITSM) 系統。 AWS 建議不要在標籤中包含個人識別資訊。
+ 請考慮某些標籤值需要不可變 (不可修改),以防止規避技術控制項,例如依賴標籤的 ABAC 條件。
# Security OU – 安全工具帳戶
**調查**
我們希望聽到您的意見。請進行[簡短的問卷](https://amazonmr.au1.qualtrics.com/jfe/form/SV_cMxJ0MG3jU91Fk2),以提供對 AWS PRA 的意見回饋。
Security Tooling 帳戶專用於操作安全性和隱私權基礎服務 AWS 帳戶、監控和自動化安全性和隱私權提醒和回應。如需此帳戶的詳細資訊,請參閱[AWS 安全參考架構 (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html)。下圖說明 AWS Security Tooling 帳戶中設定的安全和隱私權服務。
![\[AWS 服務 部署在安全組織單位的安全工具帳戶中。\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/privacy-reference-architecture/images/Account-Security-Tooling.png)
**Topics**
+ [AWS CloudTrail](#aws-cloudtrail)
+ [AWS Config](#aws-config)
+ [Amazon GuardDuty](#amazon-guardduty)
+ [IAM Access Analyzer](#iam-access-analyzer)
+ [Amazon Macie](#amazon-macie)
## AWS CloudTrail
[AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) 可協助您稽核 中的整體 API 活動 AWS 帳戶。在儲存、 AWS 區域 處理或傳輸個人資料的所有 AWS 帳戶 和 中啟用 CloudTrail,可協助您追蹤此資料的使用和揭露。[AWS 安全參考架構](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html#mgmt-cloudtrail)建議啟用組織線索,這是記錄組織中所有帳戶所有事件的單一線索。不過,啟用此組織追蹤會將多區域日誌資料彙總到 Log Archive 帳戶中的單一 Amazon Simple Storage Service (Amazon S3) 儲存貯體。對於處理個人資料的帳戶,這可能會帶來一些額外的設計考量。日誌記錄可能包含一些對個人資料的參考。為了滿足您的資料駐留和資料傳輸需求,您可能需要重新考慮將跨區域日誌資料彙總到 S3 儲存貯體所在的單一區域。您的組織可能會考慮應該在組織追蹤中包含或排除哪些區域工作負載。對於您決定從組織追蹤中排除的工作負載,您可以考慮設定遮蔽個人資料的區域特定追蹤。如需遮罩個人資料的詳細資訊,請參閱本指南的 [Amazon Data Firehose](personal-data-account.md#amazon-data-firehose)一節。最後,您的組織可能有組織追蹤和區域追蹤的組合,這些追蹤會彙總到集中式 Log Archive 帳戶。
如需設定單一區域追蹤的詳細資訊,請參閱使用 [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-create-trail.html#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-single) 或 [主控台](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html#creating-a-trail-in-the-console)的指示。當您建立組織追蹤時,您可以使用 中的選擇加入設定[AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/configure-org-trails.html),也可以直接在 [CloudTrail 主控台](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-an-organizational-trail-in-the-console.html)中建立追蹤。
如需整體方法以及如何管理日誌和資料傳輸需求的集中的詳細資訊,請參閱本指南中的 [集中式日誌儲存](log-archive-account.md#centralized-log-storage)一節。無論您選擇何種組態,您可能想要根據 AWS SRA,將安全工具帳戶中的線索管理與日誌封存帳戶中的日誌儲存區分開。此設計可協助您為需要管理日誌和需要使用日誌資料的人員建立最低權限的存取政策。
## AWS Config
[AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html) 提供 中資源的詳細檢視 AWS 帳戶 及其設定方式。它可協助您識別資源彼此之間的關聯,以及其組態隨著時間的變化。如需如何在安全內容中使用此服務的詳細資訊,請參閱 [AWS 安全參考架構](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html#tool-config)。
在 中 AWS Config,您可以部署[一致性套件](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html),這是一組 AWS Config 規則和修補動作。一致性套件提供一般用途架構,旨在使用受管或自訂 AWS Config 規則來啟用隱私權、安全性、營運和成本最佳化控管檢查。您可以使用此工具做為較大型自動化工具的一部分,來追蹤 AWS 資源組態是否符合您自己的控制架構需求。
[NIST 隱私權架構 v1.0 一致性套件的操作最佳實務](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-nist_privacy_framework.html)符合 NIST 隱私權架構中的許多隱私權相關控制項。每個 AWS Config 規則都適用於特定 AWS 資源類型,並且與一或多個 NIST 隱私權架構控制項相關。您可以使用此一致性套件來追蹤帳戶中資源的隱私權相關持續合規。以下是此一致性套件中包含的一些規則:
+ `no-unrestricted-route-to-igw` – 此規則透過持續監控 VPC 路由表的預設`0.0.0.0/0`或`::/0`輸出路由至網際網路閘道,協助防止資料平面上的資料外洩。這可協助您限制可傳送網際網路流量的位置,尤其是在已知有惡意 CIDR 範圍的情況下。
+ `encrypted-volumes` – 此規則會檢查連接至 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的 Amazon Elastic Block Store (Amazon EBS) 磁碟區是否加密。如果您的組織有與使用 AWS Key Management Service (AWS KMS) 金鑰來保護個人資料相關的特定控制要求,您可以將特定金鑰 IDs 指定為規則的一部分,以檢查磁碟區是否使用特定 AWS KMS 金鑰加密。
+ `restricted-common-ports` – 此規則會檢查 Amazon EC2 安全群組是否允許指定連接埠不受限制的 TCP 流量。安全群組可以透過提供傳入和傳出資源網路流量的狀態篩選,來協助您管理網路存取 AWS 。在 資源上封鎖從 `0.0.0.0/0`到 TCP 3389 和 TCP 21 等常見連接埠的輸入流量,可協助您限制遠端存取。
AWS Config 可用於主動 AWS 和被動的 資源合規檢查。除了考量一致性套件中的規則之外,您還可以在偵測和主動評估模式中整合這些規則。這有助於在軟體開發生命週期的早期實作隱私權檢查,因為應用程式開發人員可以開始整合部署前檢查。例如,他們可以在其 AWS CloudFormation 範本中包含勾點,根據所有已啟用主動模式的隱私權相關 AWS Config 規則,檢查範本中宣告的資源。如需詳細資訊,請參閱[AWS Config 規則現在支援主動式合規](https://aws.amazon.com/blogs/aws/new-aws-config-rules-now-support-proactive-compliance/) (AWS 部落格文章)。
## Amazon GuardDuty
AWS 提供多種服務,可用於存放或處理個人資料,例如 Amazon S3、Amazon Relational Database Service (Amazon RDS) 或 Amazon EC2 搭配 Kubernetes。[Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) 結合了智慧型可見性與持續監控,可偵測可能與意外洩漏個人資料相關的指標。如需如何在安全內容中使用此服務的詳細資訊,請參閱 [AWS 安全參考架構](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html#tool-guardduty)。
使用 GuardDuty,您可以在整個攻擊生命週期中識別潛在的惡意隱私權相關活動。例如,GuardDuty 可以提醒您有關黑名單網站的連線、不尋常的網路連接埠流量或流量、DNS 洩漏、非預期的 EC2 執行個體啟動,以及不尋常的 ISP 發起人。您也可以設定 GuardDuty 來停止來自您信任 IP *清單的信任 IP *地址提醒,以及來自您*威脅清單*的已知惡意 IP 地址提醒。
如 AWS SRA 中建議,您可以為 AWS 帳戶 組織中的所有 啟用 GuardDuty,並將安全工具帳戶設定為 GuardDuty 委派管理員。GuardDuty** **會將整個組織的調查結果彙總到此單一帳戶。如需詳細資訊,請參閱[使用 管理 GuardDuty 帳戶 AWS Organizations](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html)。您也可以考慮在事件回應程序中識別所有與隱私權相關的利益相關者,從偵測和分析到遏制和消除,並讓他們參與任何可能涉及資料外洩的事件。
## IAM Access Analyzer
許多客戶希望持續確保與預先核准和預期的第三方處理器適當共用個人資料,而不是其他實體。[資料周邊](https://aws.amazon.com/identity/data-perimeters-on-aws/)是一組預防性護欄,旨在僅允許來自預期網路的受信任身分存取您 AWS 環境中的受信任資源。當您定義意外和預期公開個人資料的控制時,您可以定義信任的身分、信任的資源和預期的網路。
透過 [AWS Identity and Access Management Access Analyzer (IAM Access Analyzer)](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html),組織可以定義信任 AWS 帳戶 區域,並設定該信任區域的違規提醒。IAM Access Analyzer 會分析 IAM 政策,以協助識別和解決對潛在敏感資源的意外公有或跨帳戶存取。IAM Access Analyzer 使用數學邏輯和推論,為可從 外部存取的資源產生全面的調查結果 AWS 帳戶。最後,為了回應和修復過度寬鬆的 IAM 政策,您可以使用 IAM Access Analyzer 根據 IAM 建議的做法驗證現有政策並提供建議。IAM Access Analyzer 可以根據 IAM 主體先前的存取活動產生最低權限的 IAM 政策。它會分析 CloudTrail 日誌並產生僅授予繼續執行這些任務所需許可的政策。
如需如何在安全內容中使用 IAM Access Analyzer 的詳細資訊,請參閱 [AWS 安全參考架構](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html#tool-iam-analyzer)。
## Amazon Macie
[Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html) 是一種服務,使用機器學習和模式比對來探索敏感資料、提供資料安全風險的可見性,並協助您自動化對這些風險的保護。Macie 在偵測到 Amazon S3 儲存貯體的安全性或隱私權潛在政策違規或問題時產生調查結果。Macie 是另一個工具,組織可用來實作自動化,以支援合規工作。如需如何在安全內容中使用此服務的詳細資訊,請參閱 [AWS 安全參考架構](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html#tool-macie)。
Macie 可以偵測大量且不斷增長的敏感資料類型清單,包括個人身分識別資訊 (PII),例如名稱、地址和其他可識別屬性。您甚至可以建立[自訂資料識別符](https://docs.aws.amazon.com/macie/latest/user/custom-data-identifiers.html),以定義可反映組織個人資料定義的偵測條件。
當您的組織為包含個人資料的 Amazon S3 儲存貯體定義預防性控制時,您可以使用 Macie 作為驗證機制,以持續確保個人資料的所在位置及其保護方式。若要開始,請啟用 Macie 並設定[自動敏感資料探索](https://docs.aws.amazon.com/macie/latest/user/discovery-asdd.html)。Macie 會持續分析所有 S3 儲存貯體中跨帳戶和 的物件 AWS 區域。Macie 會產生並維護互動式熱度圖,描述個人資料所在的位置。自動化敏感資料探索功能旨在降低成本,並將手動設定探索任務的需求降至最低。您可以在自動化敏感資料探索功能的基礎上建置 ,並使用 Macie 自動偵測現有儲存貯體中的新儲存貯體或新資料,然後根據指派的資料分類標籤驗證資料。設定此架構,以及時通知適當的開發和隱私權團隊分類錯誤或未分類的儲存貯體。
您可以使用 為組織中的每個帳戶啟用 Macie AWS Organizations。如需詳細資訊,請參閱[在 Amazon Macie 中整合和設定組織](https://docs.aws.amazon.com/macie/latest/user/accounts-mgmt-ao-integrate.html)。
# 安全 OU – Log Archive 帳戶
**調查**
我們希望聽到您的意見。請進行[簡短的問卷](https://amazonmr.au1.qualtrics.com/jfe/form/SV_cMxJ0MG3jU91Fk2),以提供對 AWS PRA 的意見回饋。
Log Archive 帳戶可讓您集中基礎設施、服務和應用程式日誌類型。如需此帳戶的詳細資訊,請參閱[AWS 安全參考架構 (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/log-archive.html)。透過日誌的專用帳戶,您可以在所有日誌類型中套用一致的提醒,並確認事件回應者可以從單一位置存取這些日誌的彙總。您也可以從一個位置設定安全控制和資料保留政策,這可以簡化隱私權營運開銷。下圖說明在 AWS Log Archive 帳戶中設定的安全性和隱私權服務。
![\[AWS 服務 部署在安全組織單位的 Log Archive 帳戶中。\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/privacy-reference-architecture/images/Account-Log-Archive.png)
## 集中式日誌儲存
日誌檔案 (例如 AWS CloudTrail 日誌) 可能包含可視為個人資料的資訊。有些組織選擇使用組織線索,將跨帳戶 AWS 區域 和跨帳戶的 CloudTrail 日誌彙總到一個集中位置,以便可見。如需詳細資訊,請參閱本指南中的 [AWS CloudTrail](security-tooling-account.md#aws-cloudtrail)。實作 CloudTrail 日誌的集中化時,日誌通常會存放在單一區域的 Amazon Simple Storage Service (Amazon S3) 儲存貯體中。
根據您組織對個人資料的定義、您對客戶的合約義務,以及適用的區域隱私權法規,您可能需要在記錄彙總時考慮跨邊界資料傳輸。判斷各種日誌類型內的個人資料是否屬於這些限制。例如,CloudTrail 日誌可能包含您組織的員工資料,但可能不包含您客戶的個人資料。如果您的組織需要遵守受限的資料傳輸要求,下列選項有助於支援:
+ 如果您的組織在 中 AWS 雲端 向多個國家/地區的資料主體提供服務,您可以選擇彙總具有最嚴格資料駐留要求的國家/地區中的所有日誌。例如,如果您在德國營運,且要求最嚴格,您可以在 的 S3 儲存貯體中彙總資料,`eu-central-1` AWS 區域 以便在德國收集的資料不會離開德國邊界。對於此選項,您可以在 CloudTrail 中設定單一組織線索,將日誌從所有帳戶彙總 AWS 區域 到目標區域。
+ 在將資料複製並彙總到另一個區域 AWS 區域 之前,修改需要保留在 中的個人資料。例如,您可以在將日誌轉移到不同區域之前,遮蔽應用程式主機區域中的個人資料。如需遮罩個人資料的詳細資訊,請參閱本指南的 [Amazon Data Firehose](personal-data-account.md#amazon-data-firehose)一節。
+ 如果您有嚴格的資料主權問題,您可以在 中維護單獨的多帳戶登陸區域 AWS 區域 ,以強制執行這些要求。如此一來,您就可以簡化 區域中的登陸區域組態,以進行集中式記錄。它還提供額外的基礎設施隔離優勢,並有助於將日誌保留在自己的區域本機。與您的法律顧問合作,判斷哪些個人資料在範圍內,以及允許哪些Region-to-Region傳輸。如需詳細資訊,請參閱本指南中的 [全球擴展的規劃](global-expansion.md)。
透過[服務日誌](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html)、應用程式日誌和作業系統 (OS) 日誌,您可以依預設使用 Amazon CloudWatch 來監控其對應帳戶和區域中的 AWS 服務 或 資源。許多選擇將這些日誌和指標從多個帳戶和區域集中到單一帳戶。根據預設,這些日誌會保留在其對應的 帳戶和其來源的區域中。對於集中化,您可以使用[訂閱篩選條件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Subscriptions.html)和 [Amazon S3 匯出任務](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/S3Export.html),將資料共用到集中位置。從具有跨邊界資料傳輸需求的工作負載彙總日誌時,包含適當的篩選條件和匯出任務可能很重要。如果工作負載的存取日誌包含個人資料,您可能需要確保這些資料會傳輸至或保留在特定帳戶和區域中。
## Amazon Security Lake
如 AWS SRA 中建議,您可能想要使用 Log Archive 帳戶做為 [Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) 的委派管理員帳戶。當您這樣做時,Security Lake 會在與其他 SRA 建議的安全性日誌相同的帳戶中的專用 Amazon S3 儲存貯體中收集支援的日誌。
從隱私權的角度來看,事件回應者必須能夠從 AWS 環境、SaaS 供應商、內部部署、雲端來源和第三方來源存取日誌。這有助於他們更快封鎖和修復對個人資料的未經授權存取。日誌儲存的相同考量最可能適用於 Amazon Security Lake 內的日誌落地和區域移動。這是因為 Security Lake 會從您啟用服務的 AWS 區域 收集安全日誌和事件。若要符合資料駐留要求,請考慮您的[彙總區域組態。 ](https://docs.aws.amazon.com/security-lake/latest/userguide/add-rollup-region.html)*彙總區域*是 Security Lake 合併您選取的一或多個貢獻區域中的資料的區域。您的組織可能需要符合資料駐留的區域合規要求,才能設定 Security Lake 和彙總區域。
# 基礎設施 OU – 網路帳戶
**調查**
我們希望聽到您的意見。請進行[簡短的問卷](https://amazonmr.au1.qualtrics.com/jfe/form/SV_cMxJ0MG3jU91Fk2),以提供對 AWS PRA 的意見回饋。
在網路帳戶中,您可以管理虛擬私有雲端 (VPCs) 與更廣泛的網際網路之間的聯網。在此帳戶中,您可以使用 AWS WAF、使用 AWS Resource Access Manager (AWS RAM) 共用 VPC 子網路和 AWS Transit Gateway 附件,以及使用 Amazon CloudFront 支援目標服務用量,來實作廣泛的揭露控制機制。如需此帳戶的詳細資訊,請參閱[AWS 安全參考架構 (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/network.html)。下圖說明網路帳戶中設定 AWS 的安全和隱私權服務。
![\[AWS 服務 部署在基礎設施組織單位的網路帳戶中。\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/privacy-reference-architecture/images/Account-Network.png)
**Topics**
+ [Amazon CloudFront](#cloudfront)
+ [AWS Resource Access Manager](#aws-ram-network)
+ [AWS Transit Gateway](#transit-gateway)
+ [AWS WAF](#aws-waf)
## Amazon CloudFront
[Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/Introduction.html) 支援前端應用程式和檔案託管的地理限制。CloudFront 可以透過稱為*節點*的資料中心全球網路交付內容。當使用者請求您使用 CloudFront 提供的內容時,請求會路由到提供最低延遲的節點。如需如何在安全內容中使用此服務的詳細資訊,請參閱 [AWS 安全參考架構](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/network.html#network-cf)。
您的隱私權計劃目前可能支援遵守特定區域法律。如果您的工作負載的範圍僅限於為僅位於這些區域內的客戶提供服務,您可以實作技術措施來防止來自其他區域的使用。您可以使用 CloudFront 地理限制,防止特定地理位置的使用者存取您透過 CloudFront 分佈分佈的內容。如需地理限制的詳細資訊和組態選項,請參閱 CloudFront 文件中的[限制內容的地理分佈](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/georestrictions.html)。
您也可以設定 CloudFront 產生存取日誌,其中包含 CloudFront 收到的每個使用者請求的詳細資訊。如需詳細資訊,請參閱 CloudFront 文件中的[設定和使用標準日誌 (存取日誌)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/AccessLogs.html)。最後,如果 CloudFront 設定為在一系列節點快取內容,您可能會考慮快取發生的位置。對於某些組織,跨區域快取可能會受到跨邊界資料傳輸要求的約束。
## AWS Resource Access Manager
[AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) 可協助您安全地跨 共用資源 AWS 帳戶 ,以減少營運開銷並提供可見性和可稽核性。透過 AWS RAM,組織可以限制哪些 AWS 資源可以與其 AWS 帳戶 組織中的其他 或第三方帳戶共用。如需詳細資訊,請參閱[可共用 AWS 資源](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html)。在網路帳戶中,您可以使用 AWS RAM 來共用 VPC 子網路和傳輸閘道連線。如果您使用 與其他 AWS RAM 共用資料平面連線 AWS 帳戶,您可以考慮建立程序,以檢查是否已進行預先核准的連線, AWS 區域 並遵守您的資料駐留需求。
除了共用 VPCs和傳輸閘道連線之外, AWS RAM 還可以用來共用不支援 IAM 資源型政策的資源。對於[在個人資料 OU ](personal-data-account.md)中託管的工作負載,您可以使用 AWS RAM 存取位於個別 中的個人資料 AWS 帳戶。如需詳細資訊,請參閱*個人資料 OU – PD 應用程式帳戶*一節[AWS Resource Access Manager](personal-data-account.md#aws-ram-pd-account)中的 。
## AWS Transit Gateway
如果您想要部署在 中收集、存放或處理個人資料 AWS 的資源 AWS 區域 ,以符合組織資料駐留需求,而且您有適當的技術保護措施,請考慮實作護欄,以防止控制項和資料平面上未經核准的跨邊界資料流程。在控制平面上,您可以使用 IAM 和服務控制政策來限制區域用量,進而限制跨區域資料流程。
有多種選項可在資料平面上控制跨區域資料流程。例如,您可以使用路由表、VPC 對等互連和 AWS Transit Gateway 附件。 [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html) 是連接虛擬私有雲端 (VPCs) 和內部部署網路的中央中樞。作為大型 AWS 登陸區域的一部分,您可以考慮資料周遊的各種方式 AWS 區域,包括透過網際網路閘道、透過直接 VPC-to-VPC 對等互連,以及透過區域間對等互連 AWS Transit Gateway。例如,您可以在 中執行下列動作 AWS Transit Gateway:
+ 確認 VPCs 與內部部署環境之間的東西和南北連線符合您的隱私權要求。
+ 根據您的隱私權需求設定 VPC 設定。
+ 在 AWS Organizations 和 IAM 政策中使用服務控制政策,以協助防止修改您的 AWS Transit Gateway 和 Amazon Virtual Private Cloud (Amazon VPC) 組態。如需服務控制政策範例,請參閱本指南[限制對 VPC 組態的變更](restrict-changes-vpc-configurations.md)中的 。
## AWS WAF
為了協助防止意外洩漏個人資料,您可以為 Web 應用程式部署defense-in-depth方法。您可以在應用程式中建置輸入驗證和速率限制,但 AWS WAF 可以做為另一道防線。 [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/what-is-aws-waf.html) 是一種 Web 應用程式防火牆,可協助您監控轉送至受保護 Web 應用程式資源的 HTTP 和 HTTPS 請求。如需如何在安全內容中使用此服務的詳細資訊,請參閱 [AWS 安全參考架構](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/network.html#network-waf)。
您可以使用 AWS WAF定義和部署規則,以檢查特定條件。下列活動可能與個人資料的意外揭露相關聯:
+ 來自不明或惡意 IP 地址或地理位置的流量
+ Open Worldwide Application Security Project (OWASP) [前 10 大攻擊](https://owasp.org/www-project-top-ten/),包括外洩相關攻擊,例如 SQL Injection
+ 請求率高
+ 一般機器人流量
+ 內容抓取器
您可以部署由 管理的 AWS WAF [規則群組](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-groups.html) AWS。的某些受管規則群組 AWS WAF 可用於偵測隱私權和個人資料的威脅,例如:
+ [SQL 資料庫](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-use-case.html#aws-managed-rule-groups-use-case-sql-db) – 此規則群組包含的規則旨在封鎖與利用 SQL 資料庫相關聯的請求模式,例如 SQL Injection 攻擊。如果您的應用程式與 SQL 資料庫界面,請考慮此規則群組。
+ [已知錯誤輸入](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-baseline.html#aws-managed-rule-groups-baseline-known-bad-inputs) – 此規則群組包含的規則旨在封鎖已知無效的請求模式,並與漏洞的利用或探索相關聯。
+ [機器人控制](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-bot.html) – 此規則群組包含專為管理來自機器人的請求而設計的規則,這些規則可能會消耗過多的資源、扭曲業務指標、造成停機時間,以及執行惡意活動。
+ [帳戶接管預防 (ATP)](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-atp.html) – 此規則群組包含旨在防止惡意帳戶接管嘗試的規則。此規則群組會檢查傳送至應用程式登入端點的登入嘗試。
# 個人資料 OU – PD 應用程式帳戶
**調查**
我們希望聽到您的意見。請進行[簡短的問卷](https://amazonmr.au1.qualtrics.com/jfe/form/SV_cMxJ0MG3jU91Fk2),以提供對 AWS PRA 的意見回饋。
Personal Data (PD) 應用程式帳戶是您的組織託管收集和處理個人資料的服務。具體而言,您可以將定義為個人資料的內容存放在此帳戶中。 AWS PRA 透過多層無伺服器 Web 架構示範許多隱私權組態範例。涉及到跨 AWS 登陸區域的操作工作負載時,不應將隱私權組態視為one-size-fits-all解決方案。例如,您的目標是了解基礎概念、它們如何增強隱私權,以及您的組織如何將解決方案套用至您的特定使用案例和架構。
對於 AWS 帳戶 組織中收集、存放或處理個人資料的 ,您可以使用 AWS Organizations 和 AWS Control Tower 部署基礎和可重複的護欄。為這些帳戶建立專用組織單位 (OU) 至關重要。例如,您可能只想將資料駐留護欄套用至一部分帳戶,其中資料駐留是核心設計考量。對於許多組織而言,這些是存放和處理個人資料的帳戶。
您的組織可能會考慮支援專用資料帳戶,這是您存放個人資料集授權來源的位置。授權資料來源是您存放主要資料版本的位置,這可能會被視為最可靠且準確的資料版本。例如,您可以將授權資料來源中的資料複製到其他位置,例如 PD 應用程式帳戶中的 Amazon Simple Storage Service (Amazon S3) 儲存貯體,這些儲存貯體用於存放訓練資料、一部分客戶資料和修訂後的資料。透過採取這種多帳戶方法,將資料帳戶中的完整和確定性個人資料集與 PD 應用程式帳戶中的下游消費者工作負載分開,您可以在未經授權存取您的帳戶時減少影響範圍。
下圖說明 PD 應用程式和資料帳戶中設定 AWS 的安全性和隱私權服務。
![\[AWS 服務 部署在個人資料應用程式和個人資料 OU 中的資料帳戶中。\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/privacy-reference-architecture/images/Account-PD-Application.png)
**Topics**
+ [Amazon Athena](#athena)
+ [Amazon Bedrock](#bedrock)
+ [AWS Clean Rooms](#clean-rooms)
+ [Amazon CloudWatch Logs](#cloudwatch-logs)
+ [Amazon CodeGuru Reviewer](#codeguru-reviewer)
+ [Amazon Comprehend](#comprehend)
+ [Amazon Data Firehose](#amazon-data-firehose)
+ [Amazon DataZone](#datazone)
+ [AWS Glue](#aws-glue)
+ [AWS Key Management Service](#aws-kms)
+ [AWS Lake Formation](#lake-formation)
+ [AWS Local Zones](#aws-local-zones)
+ [AWS Nitro Enclaves](#nitro-enclaves)
+ [AWS PrivateLink](#privatelink)
+ [AWS Resource Access Manager](#aws-ram-pd-account)
+ [Amazon SageMaker AI](#sagemaker)
+ [AWS 可協助管理資料生命週期的 功能](#manage-data-lifecycle)
+ [AWS 服務 和 功能,可協助分段資料](#segment-data)
+ [AWS 服務 和 功能,可協助探索、分類或分類資料](#discovery-classification)
## Amazon Athena
您可以考慮資料查詢限制控制,以符合您的隱私權目標。[Amazon Athena](https://docs.aws.amazon.com/athena/latest/ug/what-is.html) 是一種互動式查詢服務,可協助您使用標準 SQL 直接在 Amazon S3 中分析資料。您不需要將資料載入 Athena;它可直接處理存放在 S3 儲存貯體中的資料。
Athena 的常見使用案例是為資料分析團隊提供量身打造且經過清理的資料集。如果資料集包含個人資料,您可以透過遮罩為資料分析團隊提供少量價值的整個個人資料欄來淨化資料集。如需詳細資訊,請參閱[使用 Amazon Athena 匿名化和管理資料湖中的資料,以及 AWS Lake Formation](https://aws.amazon.com/blogs/big-data/anonymize-and-manage-data-in-your-data-lake-with-amazon-athena-and-aws-lake-formation/)(AWS 部落格文章)。
如果您的資料轉換方法在 [Athena 支援的函數](https://docs.aws.amazon.com/athena/latest/ug/functions.html)之外需要額外的彈性,您可以定義自訂函數,稱為[使用者定義的函數 (UDF)](https://docs.aws.amazon.com/athena/latest/ug/querying-udf.html)。您可以在提交至 Athena UDFs,並在其上執行 AWS Lambda。您可以在 `SELECT`和 `FILTER SQL`查詢中使用 UDFs,也可以在相同的查詢中叫用多個 UDFs。對於隱私權,您可以建立執行特定類型資料遮罩的 UDFs,例如只顯示資料欄中每個值的最後四個字元。
## Amazon Bedrock
[Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/userguide/what-is-bedrock.html) 是一項全受管服務,可從 AI21 實驗室、Anthropic、Meta、Mistral AI 和 Amazon 等領導 AI 公司存取基礎模型。它可協助組織建置和擴展生成式 AI 應用程式。無論使用何種平台,使用生成式 AI 時,組織都可能面臨隱私權風險,包括可能暴露個人資料、未經授權的資料存取,以及其他違規。
[Amazon Bedrock Guardrails](https://docs.aws.amazon.com/bedrock/latest/userguide/guardrails.html) 旨在透過在 Amazon Bedrock 中跨生成式 AI 工作負載強制執行安全和合規最佳實務,協助緩解這些風險。AI 資源的部署和使用不一定符合組織的隱私權和合規要求。組織在使用生成式 AI 模型時可能會難以維護資料隱私權,因為這些模型可能會記住或重現敏感資訊。Amazon Bedrock Guardrails 透過評估使用者輸入和模型回應,協助保護隱私權。整體而言,如果輸入資料包含個人資料,則可能會有在模型輸出中公開此資訊的風險。
Amazon Bedrock Guardrails 提供機制來強制執行資料保護政策,並協助防止未經授權的資料暴露。它提供[內容篩選功能](https://docs.aws.amazon.com/bedrock/latest/userguide/guardrails-sensitive-filters.html),可在輸入中偵測和封鎖個人資料、[主題限制](https://docs.aws.amazon.com/bedrock/latest/userguide/guardrails-denied-topics.html)以協助防止存取不適當或風險的主題,以及在模型提示和回應中遮罩或修訂敏感詞彙的[字詞篩選條件](https://docs.aws.amazon.com/bedrock/latest/userguide/guardrails-word-filters.html)。這些功能有助於防止可能導致隱私權違規的事件,例如回應偏差或客戶信任遭到侵蝕。這些功能可協助您確保 AI 模型不會不小心處理或揭露個人資料。Amazon Bedrock Guardrails 也支援評估 Amazon Bedrock 外部的輸入和回應。如需詳細資訊,請參閱[使用 Amazon Bedrock Guardrails 實作與模型無關的安全措施 ](https://aws.amazon.com/blogs/machine-learning/implement-model-independent-safety-measures-with-amazon-bedrock-guardrails/)(AWS 部落格文章)。
使用 Amazon Bedrock Guardrails,您可以使用[情境接地檢查](https://docs.aws.amazon.com/bedrock/latest/userguide/guardrails-contextual-grounding-check.html)來評估事實接地和回應相關性,以限制模型幻覺的風險。例如,部署生成式 AI 客戶面向應用程式,該應用程式在[擷取增強生成 (RAG)](https://aws.amazon.com/what-is/retrieval-augmented-generation/) 應用程式中使用第三方資料來源。內容基礎檢查可用來驗證對這些資料來源的模型回應,並篩選掉不正確的回應。在 AWS PRA 的內容中,您可以跨工作負載帳戶實作 Amazon Bedrock Guardrail,在其中強制執行針對每個工作負載需求量身打造的特定隱私權護欄。
## AWS Clean Rooms
當組織透過分析交集或重疊的敏感資料集來尋找彼此協作的方法時,維護共用資料的安全性和隱私權是一大問題。 [AWS Clean Rooms](https://docs.aws.amazon.com/clean-rooms/latest/userguide/what-is.html)可協助您部署*資料無塵室*,這是安全、中立的環境,讓組織可以分析合併的資料集,而無需共用原始資料本身。它也可以透過提供存取權給 上的其他組織來產生唯一的洞見, AWS 而無需從自己的帳戶移動或複製資料,也不會洩露基礎資料集。所有資料會保留在來源位置。內建分析規則會限制輸出並限制 SQL 查詢。系統會記錄所有查詢,協同合作成員可以檢視其資料的查詢方式。
您可以建立 AWS Clean Rooms 協同合作,並邀請其他 AWS 客戶成為該協同合作的成員。您授予一個成員查詢成員資料集的能力,您可以選擇其他成員來接收這些查詢的結果。如果多個成員需要查詢資料集,您可以建立與相同資料來源和不同成員設定的其他協同合作。每個成員都可以篩選與協同合作成員共用的資料,而且您可以使用自訂分析規則來設定如何分析他們提供給協同合作的資料的限制。
除了限制提供給協同合作的資料以及其他成員如何使用資料之外, AWS Clean Rooms 還提供下列功能,可協助您保護隱私權:
+ *差異隱私權*是一種數學技術,透過在資料中新增仔細校正的雜訊量來增強使用者隱私權。這有助於降低資料集內個別使用者重新識別的風險,而不會遮蔽感興趣的值。使用[AWS Clean Rooms 差異隱私權](https://docs.aws.amazon.com/clean-rooms/latest/userguide/differential-privacy.html)不需要差異隱私權專業知識。
+ [AWS Clean Rooms ML](https://docs.aws.amazon.com/clean-rooms/latest/userguide/machine-learning.html) 允許兩個或多個方在其資料中識別類似的使用者,而無需直接彼此共用資料。這可降低成員身分推論攻擊的風險,其中協作的成員可以識別其他成員資料集中的個人。透過建立外觀相似的模型並產生外觀相似的區段, AWS Clean Rooms ML 可協助您比較資料集,而不會公開原始資料。這不需要任何成員具備 ML 專業知識或在 之外執行任何工作 AWS Clean Rooms。您可以保留訓練模型的完整控制權和擁有權。
+ 適用於[無塵室的密碼編譯運算 (C3R)](https://docs.aws.amazon.com/clean-rooms/latest/userguide/crypto-computing.html) 可與分析規則搭配使用,以從敏感資料衍生洞見。它以密碼編譯方式限制協作的任何其他方可以學習的內容。使用 C3R 加密用戶端,資料會先在用戶端加密,再提供給 AWS Clean Rooms。由於資料表在上傳至 Amazon S3 之前是使用用戶端加密工具加密,因此資料會保持加密,並透過處理持續存在。
在 AWS PRA 中,我們建議您在資料帳戶中建立 AWS Clean Rooms 協同合作。您可以使用它們與第三方共用加密的客戶資料。只有在提供的資料集中有重疊時才使用它們。如需如何判斷重疊的詳細資訊,請參閱 AWS Clean Rooms 文件中的[列出分析規則](https://docs.aws.amazon.com/clean-rooms/latest/userguide/analysis-rules-list.html)。
## Amazon CloudWatch Logs
[Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) 可協助您集中所有系統、應用程式和 AWS 服務 的日誌,以便您可以對其進行監控並安全地進行封存。在 CloudWatch Logs 中,您可以針對新的或現有的日誌群組使用[資料保護政策](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch-logs-data-protection-policies.html),以協助將個人資料的揭露風險降至最低。資料保護政策可以偵測日誌中的敏感資料,例如個人資料。當使用者透過 存取日誌時,資料保護政策可以遮罩該資料 AWS 管理主控台。當使用者需要直接存取個人資料時,根據您的工作負載的整體用途規格,您可以為這些使用者指派`logs:Unmask`許可。您也可以建立整個帳戶的資料保護政策,並一致地將此政策套用至組織中的所有帳戶。根據預設,這會為 CloudWatch Logs 中的所有目前和未來日誌群組設定遮罩。我們也建議您啟用稽核報告,並將其傳送至另一個日誌群組、Amazon S3 儲存貯體或 Amazon Data Firehose。這些報告包含每個日誌群組中資料保護問題清單的詳細記錄。
## Amazon CodeGuru Reviewer
對於隱私權和安全性,許多組織在部署和部署後階段都支援持續合規至關重要。PRA 在 AWS 處理個人資料之應用程式的部署管道中包含主動控制。[Amazon CodeGuru Reviewer](https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/welcome.html) 可以偵測可能以 Java、JavaScript 和 Python 程式碼公開個人資料的潛在瑕疵。它為開發人員提供改善程式碼的建議。CodeGuru Reviewer 可以識別各種安全性、隱私權和一般建議實務中的瑕疵。它旨在與多個來源提供者搭配使用,包括 AWS CodeCommit、Bitbucket、GitHub 和 Amazon S3。CodeGuru Reviewer 可以偵測的一些隱私權相關瑕疵包括:
+ SQL 注入
+ 不安全的 Cookie
+ 缺少授權
+ 用戶端 AWS KMS 重新加密
如需 CodeGuru Reviewer 可偵測項目的完整清單,請參閱 [Amazon CodeGuru Detector Library](https://docs.aws.amazon.com/codeguru/detector-library/)。
## Amazon Comprehend
[Amazon Comprehend](https://docs.aws.amazon.com/comprehend/latest/dg/what-is.html) 是一種自然語言處理 (NLP) 服務,使用機器學習在英文文字文件中發現寶貴的洞見和連線。Amazon Comprehend 可以偵測和修訂結構化、半結構化或非結構化文字文件中的個人資料。如需詳細資訊,請參閱 Amazon Comprehend 文件中的[個人身分識別資訊 (PII)](https://docs.aws.amazon.com/comprehend/latest/dg/pii.html)。
由於 Amazon Comprehend 有許多透過 AWS SDKs 進行應用程式整合的選項,因此您可以使用 Amazon Comprehend 在您收集、存放和處理資料的許多不同位置識別個人資料。您可以使用 Amazon Comprehend ML 功能來偵測和修訂[應用程式日誌](https://aws.amazon.com/blogs/machine-learning/redacting-pii-from-application-log-output-with-amazon-comprehend/) (AWS 部落格文章)、客戶電子郵件、支援票證等中的個人資料。PD 應用程式帳戶的架構圖顯示如何在 Amazon EC2 上為應用程式日誌執行此函數。Amazon Comprehend 提供兩種修訂模式:
+ `REPLACE_WITH_PII_ENTITY_TYPE` 會將每個 PII 實體取代為其類型。例如,**Jane Doe** 將被取代為 **NAME**。
+ `MASK` 以您選擇的字元 (!、\$1、\$1、%、&、 *或 @) 取代 PII 實體中的字元。例如,****Jane Doe**** 可以取代為 ***\$1\$1\$1\$1 \$1\$1\$1**。
## Amazon Data Firehose
[Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html) 可用來擷取、轉換串流資料,並將資料載入下游服務,例如 Amazon Managed Service for Apache Flink 或 Amazon S3。Firehose 通常用於傳輸大量串流資料,例如應用程式日誌,而無需從頭開始建置處理管道。
您可以使用 Lambda 函數在資料傳送至下游之前執行自訂或內建處理。為了隱私權,此功能支援資料最小化和跨邊界資料傳輸需求。例如,您可以使用 Lambda 和 Firehose 在將多區域日誌資料集中在日誌存檔帳戶中之前進行轉換。如需詳細資訊,請參閱[「Biogen:多帳戶集中記錄解決方案」](https://www.youtube.com/watch?v=m8xtR3-ZQs8)(YouTube 影片)。在 PD 應用程式帳戶中,您可以設定 Amazon CloudWatch 和 AWS CloudTrail ,將日誌推送至 Firehose 交付串流。Lambda 函數會轉換日誌,並將其傳送至 Log Archive 帳戶中的中央 S3 儲存貯體。您可以設定 Lambda 函數來遮罩包含個人資料的特定欄位。這有助於防止跨 傳輸個人資料 AWS 區域。透過使用此方法,個人資料會在傳輸和集中化之前遮罩,而不是在傳輸和集中之後遮罩。對於不受跨邊界傳輸要求約束的司法管轄區中的應用程式,透過 CloudTrail 中的組織追蹤彙總日誌通常更具營運效率和成本效益。如需詳細資訊,請參閱本指南[AWS CloudTrail](security-tooling-account.md#aws-cloudtrail)*安全 OU – 安全工具帳戶*一節中的 。
## Amazon DataZone
隨著組織擴展其共用資料的方法, AWS 服務 例如 AWS Lake Formation,他們想要確保差異存取是由最熟悉資料的人員所控制:資料擁有者。不過,這些資料擁有者可能知道隱私權要求,例如同意或跨邊界資料傳輸考量。[Amazon DataZone](https://docs.aws.amazon.com/datazone/latest/userguide/what-is-datazone.html) 會根據您的資料管控政策,協助資料擁有者和資料控管團隊跨組織共用和使用資料。在 Amazon DataZone 中,業務單位 (LOBs) 會管理自己的資料,而目錄會追蹤此擁有權。感興趣的對象可以在業務任務中尋找和請求存取資料。只要遵守資料發佈者建立的政策,資料擁有者就可以授予基礎資料表的存取權,而無需管理員或移動資料。
在隱私權環境中,Amazon DataZone 在下列範例使用案例中很有幫助:
+ 面向客戶的應用程式會產生用量資料,可與個別的行銷 LOB 共用。您需要確保只有選擇加入行銷的客戶的資料才會發佈至 目錄。
+ 歐洲客戶資料已發佈,但只能由位於歐洲經濟區域 (EEA) 的 LOBs 訂閱。如需詳細資訊,請參閱[使用 Amazon DataZone 中的精細存取控制增強資料安全性](https://aws.amazon.com/blogs/big-data/enhance-data-security-with-fine-grained-access-controls-in-amazon-datazone/)。
在 AWS PRA 中,您可以將共用 Amazon S3 儲存貯體中的資料以資料生產者身分連線至 Amazon DataZone。
## AWS Glue
維護包含個人資料的資料集是設計隱私的關鍵組成部分。組織的資料可能以結構化、半結構化或非結構化的形式存在。沒有結構的個人資料集可能難以執行許多隱私權增強操作,包括資料最小化、追蹤屬於單一資料主體的資料作為資料主體請求的一部分、確保一致的資料品質,以及資料集的整體分割。 [AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/what-is-glue.html) 是一種全受管的擷取、轉換和載入 (ETL) 服務。它可協助您分類、清理、豐富和移動資料存放區和資料串流之間的資料。 AWS Glue 功能旨在協助您探索、準備、建構和結合資料集,以進行分析、機器學習和應用程式開發。您可以使用 在現有資料集上 AWS Glue 建立可預測且通用的結構。 AWS Glue Data Catalog AWS Glue DataBrew、 和 AWS Glue Data Quality 是可協助支援組織隱私權需求的 AWS Glue 功能。
### AWS Glue Data Catalog
[AWS Glue Data Catalog](https://docs.aws.amazon.com/glue/latest/dg/catalog-and-crawler.html) 可協助您建立可維護的資料集。Data Catalog 包含資料參考,做為擷取、轉換和載入 (ETL) 任務的來源和目標 AWS Glue。Data Catalog 中的資訊會儲存為中繼資料資料表,而每個資料表都會指定單一資料存放區。您可以執行 AWS Glue 爬蟲程式來清查各種資料存放區類型中的資料。您可以將[內建和自訂分類器](https://docs.aws.amazon.com/glue/latest/dg/add-classifier.html)新增至爬蟲程式,而這些分類器會推斷個人資料的資料格式和結構描述。爬蟲程式接著會將中繼資料寫入 Data Catalog。集中式中繼資料表可以更輕鬆地回應資料主體請求 (例如刪除權),因為它可新增 AWS 環境中不同個人資料來源的結構和可預測性。如需如何使用 Data Catalog 自動回應這些請求的完整範例,請參閱[使用 Amazon S3 Find and Forget 處理資料湖中的資料清除請求 ](https://aws.amazon.com/blogs/big-data/handling-data-erasure-requests-in-your-data-lake-with-amazon-s3-find-and-forget/)(AWS 部落格文章)。最後,如果您的組織使用 [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/what-is-lake-formation.html)來管理和提供跨資料庫、資料表、資料列和儲存格的精細存取,則 Data Catalog 是關鍵元件。Data Catalog 提供跨帳戶資料共用,並協助您[使用標籤型存取控制大規模管理資料湖 ](https://aws.amazon.com/blogs/big-data/easily-manage-your-data-lake-at-scale-using-tag-based-access-control-in-aws-lake-formation/)(AWS 部落格文章)。如需詳細資訊,請參閱本節[AWS Lake Formation](#lake-formation)中的 。
### AWS Glue DataBrew
[AWS Glue DataBrew](https://docs.aws.amazon.com/databrew/latest/dg/what-is.html) 可協助您清理和標準化資料,並對資料執行轉換,例如移除或遮罩個人身分識別資訊,以及加密資料管道中的敏感資料欄位。您也可以視覺化地映射資料的歷程,以了解資料經過的各種資料來源和轉換步驟。隨著您的組織努力更好地了解和追蹤個人資料來源,此功能變得越來越重要。DataBrew 可協助您在資料準備期間遮罩個人資料。您可以在資料分析任務中偵測個人資料,並收集統計資料,例如可能包含個人資料和潛在類別的資料欄數。然後,您可以使用內建的可逆或不可逆資料轉換技術,包括替換、雜湊、加密和解密,而無須撰寫任何程式碼。然後,您可以使用下游已清理和遮罩的資料集進行分析、報告和機器學習任務。DataBrew 中提供的一些資料遮罩技術包括:
+ **雜湊** – 將雜湊函數套用至資料欄值。
+ **替代 **- 將個人資料取代為其他外觀真實的值。
+ **剔除或刪除** – 將特定欄位取代為 null 值,或刪除資料欄。
+ **遮罩 –** 使用角色亂碼,或遮罩欄中的某些部分。
以下是可用的加密技術:
+ **確定性加密** – 將確定性加密演算法套用至資料欄值。確定性加密一律會為值產生相同的加密文字。
+ **概率加密** – 將概率加密演算法套用至資料欄值。機率式加密會在每次套用時產生不同的加密文字。
如需 DataBrew 中提供的個人資料轉換配方的完整清單,請參閱[個人身分識別資訊 (PII) 配方步驟](https://docs.aws.amazon.com/databrew/latest/dg/recipe-actions.pii.html)。
### AWS Glue 資料品質
[AWS Glue Data Quality](https://docs.aws.amazon.com/glue/latest/dg/glue-data-quality.html) 可協助您在交付至資料消費者之前,主動自動化和操作跨資料管道的高品質資料交付。 AWS Glue Data Quality 提供跨資料管道的資料品質問題的統計分析,可在 [Amazon EventBridge 中觸發警示](https://docs.aws.amazon.com/glue/latest/dg/data-quality-alerts.html),並提出修補的品質規則建議。 AWS Glue Data Quality 也支援使用[特定網域的語言](https://docs.aws.amazon.com/glue/latest/dg/dqdl.html)建立規則,讓您可以建立自訂資料品質規則。
## AWS Key Management Service
[AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) 可協助您建立和控制密碼編譯金鑰,以協助保護您的資料。 會根據 AWS KMS keys FIPS 140-2 密碼編譯模組驗證計畫, AWS KMS 使用硬體安全模組來保護和驗證。如需如何在安全內容中使用此服務的詳細資訊,請參閱 [AWS 安全參考架構](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html#tool-kms)。
AWS KMS 與大多數提供加密 AWS 服務 的 整合,您可以在應用程式中使用 KMS 金鑰來處理和儲存個人資料。您可以使用 AWS KMS 協助支援各種隱私權要求,並保護個人資料,包括:
+ 使用[客戶受管金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)來更好地控制強度、旋轉、過期和其他選項。
+ 使用專用客戶受管金鑰來保護允許存取個人資料的個人資料和秘密。
+ 定義資料分類層級,並為每個層級指定至少一個專用客戶受管金鑰。例如,您可能有一個金鑰用於加密操作資料,另一個用於加密個人資料。
+ 防止意外跨帳戶存取 KMS 金鑰。
+ 將 KMS 金鑰存放在與要加密之資源 AWS 帳戶 相同的 內。
+ 實作 KMS 金鑰管理和使用的責任分離。如需詳細資訊,請參閱[如何使用 KMS 和 IAM 為 S3 中的加密資料啟用獨立安全控制](https://aws.amazon.com/blogs/security/how-to-use-kms-and-iam-to-enable-independent-security-controls-for-encrypted-data-in-s3/) (AWS 部落格文章)。
+ 透過預防性和被動護欄強制執行自動金鑰輪換。
根據預設,KMS 金鑰會儲存,且只能在建立金鑰的區域中使用。如果您的組織對資料落地和主權有特定要求,請考慮[多區域 KMS 金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html)是否適合您的使用案例。多區域金鑰是不同 中的特殊用途 KMS 金鑰 AWS 區域 ,可以互換使用。建立多區域金鑰的程序會將您的金鑰材料跨 AWS 區域 邊界移動到內部 AWS KMS,因此缺乏區域隔離可能與組織的主權和駐留目標不相容。解決此問題的一種方法是使用不同類型的 KMS 金鑰,例如區域特定的客戶受管金鑰。
### 外部金鑰存放區
對於許多組織而言, 中的預設 AWS KMS 金鑰存放區 AWS 雲端 可以滿足其資料主權和一般法規要求。但是,有些可能需要在雲端環境之外建立和維護加密金鑰,並且您有獨立的授權和稽核路徑。使用 中的[外部金鑰存放](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html)區 AWS KMS,您可以使用組織擁有的金鑰材料來加密個人資料,並在 外部控制 AWS 雲端。您仍然照常與 AWS KMS API 互動,但只會與您提供的[外部金鑰存放區代理 (XKS 代理)](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html#concept-xks-proxy) 軟體 AWS KMS 互動。您的外部金鑰存放區代理接著會調解 AWS KMS 與外部金鑰管理器之間的所有通訊。
使用外部金鑰存放區進行資料加密時,相較於在 中維護金鑰,請務必考慮額外的操作開銷 AWS KMS。使用外部金鑰存放區,您必須建立、設定和維護外部金鑰存放區。此外,如果您必須維護的其他基礎設施發生錯誤,例如 XKS 代理,且連線中斷,使用者可能暫時無法解密和存取資料。與您的合規和法規利益相關者緊密合作,以了解個人資料加密的法律和合約義務,以及您的服務水準協議的可用性和彈性。
## AWS Lake Formation
許多組織透過結構化中繼資料目錄來編目和分類資料集,希望在其組織中共用這些資料集。您可以使用 AWS Identity and Access Management (IAM) 許可政策來控制對整個資料集的存取,但對於包含不同敏感度之個人資料的資料集,通常需要更精細的控制。例如,[用途規格和使用限制](https://www.fpc.gov/resources/fipps/) (FPC 網站) 可能表示行銷團隊需要存取客戶地址,但資料科學團隊不需要。
[資料湖](https://aws.amazon.com/big-data/datalakes-and-analytics/datalakes/)也有相關的隱私權挑戰,以其原始格式集中存取大量敏感資料。大多數組織的資料都可以集中存取,因此資料集的邏輯分隔,特別是包含個人資料的資料集,是至關重要的。 [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/what-is-lake-formation.html)可協助您在共用資料時設定控管和監控,無論是來自單一來源還是資料湖中包含的許多來源。在 AWS PRA 中,您可以使用 Lake Formation 對資料帳戶中的共用資料儲存貯體中的資料提供精細的存取控制。
您可以使用 Lake Formation 中的[標籤型存取控制](https://docs.aws.amazon.com/lake-formation/latest/dg/tag-based-access-control.html)功能。*標籤型存取控制*是一種授權策略,可根據屬性定義許可。在 Lake Formation 中,這些屬性稱為 *LF 標籤*。使用 LF 標籤,您可以將這些標籤連接到 Data Catalog 資料庫、資料表和資料欄,並將相同的標籤授予 IAM 主體。Lake Formation 允許在委託人被授予存取符合資源標籤值的標籤值時對這些資源進行操作。下圖顯示如何指派 LF 標籤和許可,以提供對個人資料的差異化存取。
![\[LF 標籤控制團隊可存取的資料表資料欄。\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/privacy-reference-architecture/images/lake-formation-tags.png)
此範例使用標籤的階層性質。兩個資料庫都包含個人身分識別資訊 (`PII:true`),但單欄式層級的標籤會將特定資料欄限制為不同的團隊。在此範例中,擁有 LF-Tag `PII:true` 的 IAM 主體可以存取具有此標籤的 AWS Glue 資料庫資源。具有 `LOB:DataScience` LF-Tag 的主體可以存取具有此標籤的特定資料欄,具有 LF-Tag `LOB:Marketing` 的主體只能存取具有此標籤的資料欄。行銷只能存取與行銷使用案例相關的 PII,資料科學團隊只能存取與其使用案例相關的 PII。
## AWS Local Zones
如果您需要遵守資料駐留要求,您可以部署資源,以在特定 中存放和處理個人資料 AWS 區域 ,以支援這些要求。您也可以使用 [AWS Local Zones](https://docs.aws.amazon.com/local-zones/latest/ug/what-is-aws-local-zones.html),這可協助您將運算、儲存、資料庫和其他特定 AWS 資源放在接近大型人口和產業中心的位置。Local Zone 是 的延伸 AWS 區域 ,地理位置接近大型都會區域。您可以將特定類型的資源放在 Local Zone 內,靠近 Local Zone 對應的區域。當區域在相同的法律司法管轄區內無法使用時,Local Zones 可協助您滿足資料駐留要求。當您使用 Local Zones 時,請考慮在您的組織內部署的資料駐留控制。例如,您可能需要控制以防止從特定 Local Zone 到另一個區域的資料傳輸。如需如何使用 SCPs 維護跨邊界資料傳輸護欄的詳細資訊,請參閱[AWS Local Zones 使用登陸區域控制在 中管理資料駐留的最佳實務](https://aws.amazon.com/blogs/compute/best-practices-for-managing-data-residency-in-aws-local-zones-using-landing-zone-controls/) (AWS 部落格文章)。
## AWS Nitro Enclaves
從處理角度考慮您的資料分割策略,例如使用 Amazon Elastic Compute Cloud (Amazon EC2) 等運算服務處理個人資料。作為較大架構策略一部分的機密運算,可協助您在隔離、受保護且信任的 CPU 環境中隔離個人資料處理。Enclaves 是獨立、強化且受到高度限制的虛擬機器。[AWS Nitro Enclaves](https://docs.aws.amazon.com/enclaves/latest/user/nitro-enclave.html) 是一種 Amazon EC2 功能,可協助您建立這些隔離的運算環境。如需詳細資訊,請參閱 [AWS Nitro 系統的安全設計](https://docs.aws.amazon.com/whitepapers/latest/security-design-of-aws-nitro-system/security-design-of-aws-nitro-system.html) (AWS 白皮書)。
Nitro Enclaves 部署與父執行個體核心分開的核心。父執行個體的核心無法存取 enclave。使用者無法 SSH 或遠端存取 enclave 中的資料和應用程式。處理個人資料的應用程式可以內嵌在 enclave 中,並設定為使用 enclave 的 [Vsock](https://docs.aws.amazon.com/enclaves/latest/user/nitro-enclave-concepts.html#term-socket),這是促進 enclave 與父執行個體之間通訊的通訊端。
Nitro Enclaves 可能很有用的一個使用案例是在兩個資料處理器之間進行關節處理,這兩個資料處理器位於不同的 中, AWS 區域 但彼此可能不信任。下圖顯示如何使用 enclave 進行中央處理、在傳送至 enclave 之前加密個人資料的 KMS 金鑰,以及驗證請求解密的 enclave 在其證明文件中具有唯一測量值 AWS KMS key 的政策。如需詳細資訊和說明,請參閱[搭配 使用密碼編譯證明 AWS KMS](https://docs.aws.amazon.com/enclaves/latest/user/kms.html)。如需範例金鑰政策,請參閱本指南[需要證明才能使用 AWS KMS 金鑰](require-attestation-for-kms-key.md)中的 。
![\[使用 AWS Nitro Enclave 處理不同帳戶中 Amazon S3 儲存貯體中的加密資料。\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/privacy-reference-architecture/images/nitro-enclave.png)
透過此實作,只有個別的資料處理者和基礎 enclave 可以存取純文字個人資料。資料在個別資料處理者環境外公開的唯一位置是 enclave 本身,其設計可防止存取和竄改。
## AWS PrivateLink
許多組織想要將個人資料暴露限制在不受信任的網路。例如,如果您想要增強整體應用程式架構設計的隱私權,您可以根據資料敏感性來分割網路 (類似於[AWS 服務 和 功能,可協助分段資料](#segment-data)一節中討論的資料集邏輯和實體分離)。 [AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html)可協助您從虛擬私有雲端 (VPCs) 建立與 VPC 外部服務的單向私有連線。使用 AWS PrivateLink,您可以設定在環境中存放或處理個人資料的 服務的專用私有連線;不需要連線到公有端點,並透過不受信任的公有網路傳輸此資料。當您啟用範圍內 AWS PrivateLink 服務的服務端點時,不需要網際網路閘道、NAT 裝置、公有 IP 地址、 AWS Direct Connect 連線或 AWS Site-to-Site VPN 連線即可通訊。當您使用 AWS PrivateLink 連線到提供個人資料存取權的服務時,您可以根據您組織[的資料周邊](https://aws.amazon.com/identity/data-perimeters-on-aws/)定義,使用 VPC 端點政策和安全群組來控制存取。如需僅允許信任組織中 IAM 原則 AWS 和資源存取服務端點的範例 VPC 端點政策,請參閱本指南[需要組織成員資格才能存取 VPC 資源](require-organization-membership.md)中的 。
## AWS Resource Access Manager
[AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) 可協助您安全地跨 共用資源 AWS 帳戶 ,以減少營運開銷並提供可見性和可稽核性。當您規劃多帳戶分割策略時,請考慮使用 AWS RAM 來共用存放在個別隔離帳戶中的個人資料存放區。您可以與其他可信任的帳戶共用該個人資料,以進行處理。在 中 AWS RAM,您可以[管理許可](https://docs.aws.amazon.com/ram/latest/userguide/security-ram-permissions.html),以定義可以在共用資源上執行的動作。所有對 的 API 呼叫 AWS RAM 都會記錄在 CloudTrail 中。此外,您可以設定 Amazon CloudWatch Events 自動通知您 中的特定事件 AWS RAM,例如變更資源共享的時間。
雖然您可以在 IAM AWS 帳戶 中使用以資源為基礎的政策,或在 Amazon S3 中使用儲存貯體政策,以與其他 共用許多類型的 AWS 資源,但 為隱私權 AWS RAM 提供額外的優點。 為資料擁有者 AWS 提供額外的可見性,讓您了解跨 共用資料的方式和對象 AWS 帳戶,包括:
+ 能夠與整個 OU 共用資源,而不是手動更新帳戶 IDs清單
+ 如果消費者帳戶不屬於您的組織,請強制執行共用啟動的邀請程序
+ 特定 IAM 主體可存取每個個別資源的可見性
如果您先前已使用以資源為基礎的政策來管理資源共用,並想要 AWS RAM 改用 ,請使用 [PromoteResourceShareCreatedFromPolicy](https://docs.aws.amazon.com/ram/latest/APIReference/API_PromoteResourceShareCreatedFromPolicy.html) API 操作。
## Amazon SageMaker AI
[Amazon SageMaker AI](https://aws.amazon.com/blogs/machine-learning/implement-model-independent-safety-measures-with-amazon-bedrock-guardrails/) 是一種受管機器學習 (ML) 服務,可協助您建置和訓練 ML 模型,然後將模型部署到生產就緒的託管環境中。SageMaker AI 旨在讓您更輕鬆地準備訓練資料和建立模型功能。
### Amazon SageMaker Model Monitor
許多組織在訓練 ML 模型時考慮資料偏離。資料偏離是生產資料與用來訓練 ML 模型的資料之間有意義的變化,或隨著時間的推移,輸入資料的有意義的變更。資料偏離可以降低 ML 模型預測的整體品質、準確性和公平性。如果 ML 模型在生產環境中接收的資料的統計性質偏離訓練的基準資料的性質,預測的準確性可能會下降。[Amazon SageMaker Model Monitor](https://docs.aws.amazon.com/sagemaker/latest/dg/model-monitor.html) 可以持續監控生產環境中 Amazon SageMaker AI 機器學習模型的品質,並監控資料品質。及早主動偵測資料偏離可協助您實作修正動作,例如重新訓練模型、稽核上游系統或修正資料品質問題。Model Monitor 可以減輕手動監控模型或建置其他工具的需求。
### Amazon SageMaker Clarify
[Amazon SageMaker Clarify](https://docs.aws.amazon.com/sagemaker/latest/dg/clarify-configure-processing-jobs.html) 提供模型偏差和可解釋性的洞見。SageMaker Clarify 通常用於 ML 模型資料準備和整體開發階段。開發人員可以指定感興趣的屬性,例如性別或年齡,SageMaker Clarify 會執行一組演算法來偵測這些屬性中是否有任何偏差。演算法執行後,SageMaker Clarify 會提供視覺化報告,其中包含可能偏差的來源和測量說明,讓您可以識別修復偏差的步驟。例如,在只包含幾個商業貸款範例的金融資料集中,SageMaker 可以標記不平衡,因此您可以避免不利於該年齡群組的模型。您也可以透過檢閱其預測並持續監控這些 ML 模型是否有偏差,來檢查已訓練的模型是否有偏差。最後,SageMaker Clarify 與 [Amazon SageMaker AI Experiments](https://docs.aws.amazon.com/sagemaker/latest/dg/experiments.html) 整合,提供圖形說明哪些功能對模型的整體預測制定程序貢獻最大。此資訊可能有助於滿足可解釋性結果,而且可協助您判斷特定模型輸入是否比對整體模型行為的影響更大。
### Amazon SageMaker 模型卡
[Amazon SageMaker 模型卡](https://docs.aws.amazon.com/sagemaker/latest/dg/model-cards.html)可協助您記錄 ML 模型的關鍵詳細資訊,以供控管和報告之用。這些詳細資訊可能包括模型擁有者、一般用途、預期使用案例、所做的假設、模型的風險評分、訓練詳細資訊和指標,以及評估結果。如需詳細資訊,請參閱[AWS 使用人工智慧和Machine Learning解決方案的模型可解釋性](https://docs.aws.amazon.com/whitepapers/latest/model-explainability-aws-ai-ml/model-explainability-aws-ai-ml.html) (AWS 白皮書)。
### Amazon SageMaker Data Wrangler
[Amazon SageMaker Data Wrangler](https://aws.amazon.com/sagemaker/data-wrangler/) 是一種機器學習工具,可協助簡化資料準備和特徵工程程序。它提供視覺化界面,可協助資料科學家和機器學習工程師快速輕鬆地準備和轉換資料,以用於機器學習模型。使用 Data Wrangler,您可以從各種來源匯入資料,例如 Amazon S3、Amazon Redshift 和 Amazon Athena。然後,您可以使用超過 300 個內建資料轉換來清理、標準化和合併功能,而無需撰寫任何程式碼。
Data Wrangler 可作為 AWS PRA 中資料準備和特徵工程程序的一部分。它使用 支援靜態和傳輸中的資料加密 AWS KMS,並使用 IAM 角色和政策來控制對資料和資源的存取。它支援透過 AWS Glue 或 [Amazon SageMaker Feature Store](https://docs.aws.amazon.com/sagemaker/latest/dg/feature-store.html) 進行資料遮罩。如果您將 Data Wrangler 與 整合 AWS Lake Formation,則可以強制執行精細的資料存取控制和許可。您甚至可以將 Data Wrangler 與 Amazon Comprehend 搭配使用,以自動修訂表格式資料中的個人資料,做為更廣泛的 ML Ops 工作流程的一部分。如需詳細資訊,請參閱[使用 Amazon SageMaker Data Wrangler 自動修訂機器學習的 PII](https://aws.amazon.com/blogs/machine-learning/automatically-redact-pii-for-machine-learning-using-amazon-sagemaker-data-wrangler/) (AWS 部落格文章)。
Data Wrangler 的多樣性可協助您遮罩許多產業的敏感資料,例如帳號、信用卡號碼、社會安全號碼、病患姓名,以及醫療和軍事記錄。您可以限制對任何敏感資料的存取,或選擇加以修訂。
## AWS 可協助管理資料生命週期的 功能
當不再需要個人資料時,您可以將生命週期和time-to-live政策用於許多不同資料存放區中的資料。設定資料保留政策時,請考慮下列可能包含個人資料的位置:
+ 資料庫,例如 Amazon DynamoDB 和 Amazon Relational Database Service (Amazon RDS)
+ Amazon S3 儲存貯體
+ 來自 CloudWatch 和 CloudTrail 的日誌
+ AWS Database Migration Service (AWS DMS) 和 AWS Glue DataBrew 專案中遷移的快取資料
+ 備份和快照
下列 AWS 服務 和 功能可協助您在 AWS 環境中設定資料保留政策:
+ [Amazon S3 生命週期](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html) – 一組規則,定義 Amazon S3 套用至一組物件的動作。在 Amazon S3 Lifecyle 組態中,您可以建立過期動作,定義 Amazon S3 代表您刪除過期物件的時間。如需詳細資訊,請參閱[管理儲存生命週期](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lifecycle-mgmt.html)。
+ [Amazon Data Lifecycle Manager](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/snapshot-lifecycle.html) – 在 Amazon EC2 中,建立可自動建立、保留和刪除 Amazon Elastic Block Store (Amazon EBS) 快照和 EBS 支援的 Amazon Machine Image (AMIs) 的政策。
+ [DynamoDB 存留時間 (TTL)](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/TTL.html) – 定義每個項目時間戳記,決定何時不再需要項目。在指定時間戳記的日期和時間之後不久,DynamoDB 會從資料表中刪除項目。
+ [CloudWatch Logs 中的日誌保留設定](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention) – 您可以將每個日誌群組的保留政策調整為介於 1 天到 10 年之間的值。
+ [AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html) – 集中部署資料保護政策,以設定、管理和控管各種 AWS 資源的備份活動,包括 S3 儲存貯體、RDS 資料庫執行個體、DynamoDB 資料表、EBS 磁碟區等。透過指定資源類型或根據現有 AWS 資源標籤套用 ,將備份政策套用至資源。從集中式主控台稽核和報告備份活動,以協助滿足備份合規要求。
## AWS 服務 和 功能,可協助分段資料
資料分割是您將資料存放在不同容器中的程序。這可協助您為每個資料集提供差異化的安全性和身分驗證措施,並減少整體資料集的暴露影響範圍。例如,您可以將此資料分割為更小、更易於管理的群組,而不是將所有客戶資料儲存在一個大型資料庫中。
您可以使用實體和邏輯分隔來分割個人資料:
+ **實體分離** – 將資料儲存在個別資料存放區中,或將資料分散至個別 AWS 資源的行為。雖然資料實際上是分開的,但兩個資源都可以供相同的主體存取。這就是為什麼我們建議將實體分離與邏輯分離結合。
+ **邏輯分離** – 使用存取控制隔離資料的行為。不同的任務函數需要對個人資料子集的不同層級存取權。如需實作邏輯分隔的範例政策,請參閱本指南[授予特定 Amazon DynamoDB 屬性的存取權](grant-access-dynamodb-attributes.md)中的 。
編寫以身分為基礎的和資源為基礎的政策時,邏輯和物理分隔的組合可提供靈活性、簡單性和精細性,以支援跨任務職能的差異化存取。例如,建立在單一 S3 儲存貯體中邏輯上分隔不同資料分類的政策,在操作上可能很複雜。針對每個資料分類使用專用 S3 儲存貯體,可簡化政策組態和管理。
## AWS 服務 和 功能,可協助探索、分類或分類資料
有些組織尚未開始在其環境中使用擷取、載入和轉換 (ELT) 工具來主動為其資料編製目錄。這些客戶可能處於早期資料探索階段,他們希望更了解他們存放和處理的資料 AWS ,以及其結構和分類方式。您可以使用 [Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/data-classification.html) 進一步了解 Amazon S3 中的 PII 資料。不過,Amazon Macie 無法協助您分析其他資料來源,例如 Amazon Relational Database Service (Amazon RDS) 和 Amazon Redshift。您可以在大型[資料映射練習](https://securiti.ai/blog/evolve-your-data-mapping/)開始時,使用兩種方法來加速初始探索:
+ **手動方法** – 製作一個資料表,其中包含兩個資料欄和任意數量的資料列。在第一欄中,撰寫可能位於網路封包標頭或內文或您提供的任何服務的資料特性 (例如使用者名稱、地址或性別)。請您的合規團隊完成第二欄。在第二欄中,如果資料被視為個人資料,請輸入「是」,如果資料不是,請輸入「否」。指出被視為特別敏感的任何類型的個人資料,例如宗教面額或健康資料。
+ **自動化方法** – 使用透過 提供的工具 AWS Marketplace。其中一個這類工具是 [Securiti](https://securiti.ai/)。這些解決方案提供的整合,可讓它們跨多種 AWS 資源類型掃描和探索資料,以及其他雲端服務平台中的資產。其中許多相同的解決方案可以持續收集和維護集中式資料目錄中的資料資產和資料處理活動的庫存。如果您依賴工具來執行自動分類,則可能需要調校探索和分類規則,以符合組織對個人資料的定義。